CN101828357B - 用于证书提供的方法和装置 - Google Patents
用于证书提供的方法和装置 Download PDFInfo
- Publication number
- CN101828357B CN101828357B CN200780101138.9A CN200780101138A CN101828357B CN 101828357 B CN101828357 B CN 101828357B CN 200780101138 A CN200780101138 A CN 200780101138A CN 101828357 B CN101828357 B CN 101828357B
- Authority
- CN
- China
- Prior art keywords
- family
- key
- application
- module
- safe unit
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0853—Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/083—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP]
- H04L9/0833—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP] involving conference or group key
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3271—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/30—Security of mobile devices; Security of mobile applications
- H04W12/35—Protecting application or service provisioning, e.g. securing SIM application provisioning
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
Abstract
公开了一种在提供装置中的方法。所述方法包含获取族密钥,族密钥限定族;向安全单元以安全方式提交所述族密钥(2-2);使用所述族密钥保护证书数据;向所述安全单元提交被保护的证书数据(2-4);使用所述族密钥将应用绑定到所述族;以及向所述安全单元提交所述绑定(2-5)。同样公开了在相关安全单元和相关装置、系统和计算机程序中的方法。
Description
技术领域
本发明大致关于认证以及提供用于认证的证书。
背景技术
用于服务的认证和访问控制通常基于某种秘密证书的验证知识。此类证书经常被存储和使用在安全单元中,诸如智能卡或包含安全环境(类似于具有ARM TrustZone的移动电话)的设备。某些安全单元,类似于移动电话的SIM(用户识别模块)卡,被用于单一目的并且具有固定证书。
也存在“空白”安全单元,当需要时证书可以被安全的提供到所述“空白”安全单元中。例如,IETF(互联网工程任务组)keyprov工作组正致力于为安全单元提供对称密钥证书的机制。DSKPP(动态对称密钥提供协议)草案(draft-doherty-keyprov-dskpp-01.txt)揭示了通过使用对安全单元特定的公共密钥向该特定安全单元提供密钥的机制。
此外,还存在通用安全单元,通用安全单元可以被用于存储和使用多种类型的证书。例如,多应用智能卡能够同时包含不同智能卡应用,每个所述应用针对不同证书操作。基于所述应用和所述秘密提供者之间共享的对称密钥,可以向位于多应用智能卡中的所述应用提供秘密。所述系统的限制在于只有那些经智能卡签发者验证和授权的应用才能够被安装和使用在所述智能卡上。该设置的另一限制在于它仅涉及具有与所述安全单元的现有安全性关联的提供者(也即,所述安全单元的制造商或者所述制造商授权的某人)。
因此存在进一步考虑的空间。
发明内容
根据本发明第一方面,提供一种在提供装置中的方法,所述方法包含:
获取族密钥,族密钥限定族;
以安全的方式向安全单元提交所述族密钥;
使用所述族密钥保护证书数据;
向所述安全单元提交被保护的证书数据;
使用所述族密钥将应用绑定到所述族;以及
向所述安全单元提交所述绑定。
在实施例中,所述方法进一步包含使用公共密钥密码保护所述族密钥。在另一实施例中,所述方法进一步包含使用安全提交通道保护所述族密钥。
在实施例中,所述方法进一步包含:
保护应用,
向所述安全单元提交所述被保护的应用;以及
使用所述族密钥将所述应用绑定到所述族。
在实施例中,使用与安全单元关联的公共密钥密码保护所述应用。在另一实施例中,使用所述族密钥保护所述应用。
在实施例中,所述方法进一步包含:
与相关联的族识别信息一起向安全单元提交所述被保护的证书数据,以及
与相关联的族识别信息一起向安全单元提交所述绑定。
在实施例中,获取所述族密钥包含获取先前使用的族密钥。在另一实施例中,获取所述族密钥包含产生新的族密钥。
在实施例中所述族密钥是对称密钥。
在实施例中,所述方法进一步包含:
使用所述族密钥保护多个证书数据;以及
向所述安全单元提交多个被保护的证书数据。
在实施例中,所述方法进一步包含:
使用所述族密钥将多个应用绑定到所述族;以及
向所述安全单元提交所述多个绑定。
根据本发明第二方面,提供安全单元中的方法,所述方法包含:
接收以安全的方式发送的族密钥,所述族密钥限定族;
接收采用所述族密钥保护的证书数据;
接收将至少一个应用绑定到所述族的信息;以及
对于不具有到所述族的绑定的应用,限制其到所述证书的访问。
在与所述第二方面相关的实施例中,采用公共密钥密码来保护所述族密钥。在与所述第二方面相关的实施例中,通过使用安全提交通道传送所述族密钥来保护所述族密钥。
在实施例中,所述第二方面的方法进一步包含:
以安全的形式接收到所述族的所述至少一个应用绑定。
在与所述第二方面相关的实施例中,所述应用采用与所述安全单元相关联的公共密钥保密。在与所述第二方面相关的另一实施例中,所述应用采用所述族密钥保密。
在实施例中,所述第二方面的方法进一步包含:
接收具有相关联的族识别信息的被保护的证书数据,
接收具有相关联的族识别信息的绑定信息,以及
使用所述族识别信息来检查给定的应用和给定的证书是否具有到所述相同族的绑定。
在与所述第二方面相关的实施例中,所述族密钥是对称密钥。
在实施例中,所述第二方面的方法进一步包含:
接收采用所述族密钥保护的多个证书数据。
在实施例中,所述第二方面的方法进一步包含:
接收将多个应用绑定到所述族的信息。
根据本发明第三方面,提供一种提供装置包含:
存储器,
耦合至所述存储器的处理单元,其中所述处理单元被配置用于:
获取族密钥,族密钥限定族;
以安全的方式向安全单元提交族密钥;
使用所述族密钥保护证书数据;
向所述安全单元提交被保护的证书数据;
使用所述族密钥将应用绑定到所述族;以及
向所述安全单元提交所述绑定。
根据本发明第四方面,提供一种安全单元包含:
存储器,
耦合至所述存储器的处理单元,其中所述处理单元被配置用于:
接收以安全的方式发送的族密钥,所述族密钥限定族;
接收采用所述族密钥保护的证书数据;
接收将至少一个应用绑定到所述族的信息;以及
对于不具有到所述族的绑定的应用,限制其到所述证书的访问;
所述安全单元是例如,独立的物理单元,或者终端用户设备的专用计算硬件单元,或者终端用户设备的处理单元的安全功能单元。
根据本发明第五方面,提供一种存储器介质,包含适于控制装置以执行所述第一方面或任何可应用实施例的方法的计算机程序。
根据本发明第六方面,提供一种存储器介质,包含适于控制装置以执行所述第二方面或任何可应用实施例的方法的计算机程序。
已经示出的本发明各种实施例仅仅参考了本发明的特定方面。应理解,相应实施例也可以被用于其他方面。
附图说明
参照附图,仅以示例方式描述本发明,其中:
图1示出根据本发明实施例的系统;
图2A是示出依照实施例的方法的流程图;
图2B是示出依照实施例的方法的消息图;
图3A-3B是示出依照部分其他实施例的特定方法的流程图;
图4A-4B示出根据特定实施例的安排。
具体实施方式
下文中讨论本发明部分示例实施例。
在实施例中,安全单元(SE)具有非对称密钥对,也即,存在公共密钥和私有密钥。私有密钥保密而公共密钥可以被分发被任何人。这些密钥是数学相关的,但是私有密钥几乎不能从公共密钥导出。采用公共密钥加密的消息仅仅采用对应的私有密钥才能解密。
非对称钥对可能在制造时已经被初始化了。在实施例中,证书提供者具有某些装置允许他们验证特定公共密钥是否属于特定安全单元。因此,提供者知道相关联的私有密钥位于特定安全单元之内。例如,这种验证可以通过使用这样的公共设备证书来完成,该公共设备证书由安全单元制造商签发而且例如通过号码簿服务使其自由可用。
在本发明实施例中,族密钥被提供给安全单元。族密钥的提供可以例如通过上述公共密钥来被保护(例如,加密)。可使用的另一替代方式是族密钥通过安全的通道(例如物理提供通道)来无危险地传送。还有某些其他可替代的族密钥提供方式可以适用于结合本发明各种实施例来使用。
接下来族密钥被用于保护向安全单元提供证书数据,以及授权给定证书应用(脚本)作为族成员。然后被授权为族成员的应用被允许访问被族密钥保护的证书数据。
现在转向图1,根据本发明实施例讨论系统100。所述系统包含安全单元101以及提供者设备111。安全单元可以位于某种类型的终端用户设备之内,但是为了清晰,该设备未在图中示出。安全单元可以是独立可分离的单元(诸如,SIM卡),或者是在终端用户设备上的专用计算的硬件单元,或者是终端用户设备的处理单元的安全功能。所述提供者设备和所述安全单元被使得能够互相通信以便至少所述提供者设备可以向所述安全单元提交数据。
安全单元101包含存储非对称钥对102也即公共密钥和私有密钥的存储器109。私有密钥在所述安全单元中秘密持有而公共密钥被分发给其他设备(例如,给提供者设备111)。进一步所述存储器包含一个或多个证书105,一个或多个证书应用104,以及由一个或多个证书提供者提交的一个或多个族密钥106。然而证书应用驻留在安全单元中并非强制性的。可替代的,他们可以驻留在安全单元之外而且只是使用存储在安全单元内的证书。在实施例中,证书应用被存储在安全单元之外并且在执行时被读入并临时存储在所述安全单元中。仍然在另一实施例中,证书甚至在适当的保护(例如,通过使用永久保持在所述安全单元之内的密钥对他们进行加密和/或完整性保护)之后被存储在安全单元之外。也就是说,有可能当需要时所述证书和所述证书应用都可以仅仅临时读入到所述安全单元中。
提供软件103提供用于控制涉及接收和使用所提供证书的操作的指令。此外,所述安全单元包含使得能够进行各种操作的执行的某种类型的处理单元107。
提供者设备111包含用于控制所述设备的处理单元112以及包括计算机程序代码或软件114的存储器113。处理单元112可以是中央处理单元(CPU)或主控制单元MCU。可替代的,所述处理器可以是微处理器、数字信号处理器、专用集成电路、现场可编程门阵列、微控制器或此类单元的合并。软件114包括用于处理单元112控制设备111的指令,诸如操作系统和不同计算机应用。软件114可以包含用于控制所述装置以提供本发明某些功能的指令。
进一步,安全单元(例如,安全单元101)的公共密钥115可以被存储在存储器112中。例如,所述公共密钥可以是已经从公共路径或www服务获取的。有可能所述公共密钥仅仅被临时存储在存储器112中,也即每当需要时所述公共密钥可以被从诸如所述安全单元中读入,而且将所述公共密钥永久存储在所述提供者设备中并非是强制性的。而且由所述处理单元根据软件113的指令已经生成的证书116和族密钥117被至少临时存储在存储器112之内。所述设备可以被配置为通过所述公共密钥和所述族密钥向安全单元提交证书116。
此外提供者设备111可以进一步包含用于使得能够与其他设备通信的 网络接口单元或通信单元(未示出)。所述设备也可以包含用户接口单元(未示出),诸如显示器或键盘。
图2A是示出根据本发明实施例的提供者设备操作的流程图。所述方法执行如下:
-阶段201,证书提供者获得与特定安全单元相关联的公共密钥。
-阶段202,所述证书提供者选择族密钥。所述族密钥可以是对称密钥。基本的,对称密钥使得可以被用于加密和解密。然而,有可能存在所述加密和解密密钥之间的简单转换。无论如何,密钥之间的关系不重要。因此对称密钥的使用是基于在希望保护信息的各方之间共享秘密(所述密钥)的。也即,对称密钥将仅被分发到允许访问采用所述密钥保护的信息的各方。适当的,所述提供者可以产生新的族密钥或使用现有的族密钥。
-阶段203,使用与特定安全单元关联的公共密钥来加密族密钥。
-阶段204,例如在“family base PDU(族基础PDU)”数据分组(PDU,协议数据单元)中。族密钥被发送给安全单元。
-阶段205,生成或选择所需证书。
-阶段206,从所述族密钥中导出证书保护密钥(例如,机密性密钥和完整性密钥)。
-阶段207,采用所述机密性密钥保护(例如,加密)证书。
-阶段208,例如在“data provisioning PDU(数据提供PDU)”中,被保护的证书被发送给所述安全单元。
-步骤209,证书应用被加到所述族密钥限定的族中。通过签发将证书应用加密绑定到族密钥的“script identity PDU(脚本身份PDU)”,证书应用(脚本)可以被加入所述族。脚本身份PDU实质上授权应用使用给出的族密钥来获得对数据(证书)的访问。
应注意上述方法流程仅是一个示例而且还有其他选项可用。例如,步骤204-209的顺序可以以任意适合的方式不同于示出的顺序。也即,可以首先将一个或多个应用绑定到族,而且接下来仅仅为所述应用的使用提供 证书,或者反之亦然。也可以首先将一个应用绑定到族而且然后提供证书,并且随后将多个应用绑定到族。进一步的,随后可以在任何适当时候向族提供更多证书。
例如,所述安全单元上的提供软件可以负责从提供消息(例如,上述family base PDU、data provisioning PDU,以及script identity PDU)中提取所述族密钥和所述提供的证书,而且负责检查给定的证书应用(脚本)是否由族密钥授权以访问给定证书。
在实施例中,可以增加更加精细颗粒度的检查。例如,“族版本号”(或某些其他族识别信息)可以被与证书(在data provisioning PDU中)和脚本/证书应用(在script identity PDU中)相关联。然后,所述安全单元内的访问控制检查可以包含验证与给定证书应用相关联的族版本是否与和希望访问的证书秘密相关联的族版本具有正确的关系。
图2B示出消息图,进一步展示了实施例中提供者设备111和安全单元101之间交互的消息。所述安全单元向所述提供者设备提供它的公共密钥(PK)2-1。这并不需要直接从所述安全单元向所述提供者设备提供。可替代的,可以使用某些分布式服务完成此目标。将结合图4A和4B进一步讨论获得给定安全单元的公共密钥。
于是,所述提供者设备向所述安全单元发送包含采用所述PK保护(例如,加密)的族密钥(FK)的消息2-2、包含采用所述FK保护(例如,加密)的证书数据的消息2-4,以及包含采用所述FK保护的对给定证书应用的授权的消息2-5。图中还示出可选消息2-3,其包含采用所述安全单元的公共密钥保护的证书应用。在那种情况下,证书应用可以以加密形式存储(在所述安全单元之内或之外的托管所述安全单元的设备中)而且在执行前通过所述安全单元解密。可替代的,所述证书应用也可以采用所述族密钥加密。
图3A和3B示出流程图,展示依照实施例的安全单元的操作。例如,所述方法可以通过上述提供软件来执行。图3A的方法执行如下:
-阶段301,安全单元接收采用所述安全单元的公共密钥加密的族密 钥。所述族密钥可以例如,在family base PDU中被接收。
-阶段302,使用所述安全单元的私有密钥提取所述族密钥。
-阶段303,所述安全单元接收到采用所述族密钥加密的证书。所述证书可以例如,在data provisioning PDU中被接收。
-阶段304,采用已提取的族密钥来提取所述证书。
-阶段305,所述安全单元接收将应用绑定到由所述族密钥限定的族的授权信息。所述授权信息可以例如,在script identity PDU中被接收。
在图3B的方法中,阶段311,应用(证书应用/脚本)试图访问某个证书。阶段312,安全单元提取与所述证书相关联的族信息。等同的,所述安全单元可以提取与所述应用相关联的族信息。然后,阶段313,所述安全单元在已提取的族信息基础上检查所述应用是否被授权以访问所述证书。阶段314,如果所述证书和所述应用“属于”同一族,所述应用被允许访问所述证书。否则,阶段315,如果所述证书和所述应用不属于同一族,到所述证书的访问被拒绝。
如上所述,在实施例中“组版本号”(或某些其他族识别信息)可以与所述证书(在data provisioning PDU中)和所述脚本/证书应用(在scriptidentity PDU中)相关联。于是,在所述安全单元中的访问控制检查(阶段313)可以包含验证与所述证书应用相关联的族版本是否与关联于希望访问的证书的族版本具有正确的关系。
应理解,在上述讨论的方法中所述阶段的顺序没有被限定。可替代的,所述阶段的顺序可以被适当的改变。而且,所有的阶段不是必须需要在所有实施方式中都被执行,而且某些阶段可以被重复多次。例如,当族密钥被提交/接收时,多个与所述族密钥相关联的证书可以被提交/接收。多个证书应用也可以被绑定到一个族。
图4A和4B示出根据特定实施例的安排。所述安排涉及某个安全单元的公共密钥的获得。所述安排包含终端用户设备401和运营商服务器402。所述终端用户设备包含安全单元。例如所述终端用户设备可以是移动电话 而且例如所述安全单元可以是所述设备上的专用计算机硬件单元、处理核或SIM卡的安全功能。所述运营商服务器目的在于被用于向终端用户设备提供证书。在两种安排中,所述运营商服务器最后有公共密钥和识别符,诸如设备序列号,例如IMEI(国际移动设备识别符)值,或任何其他与所述终端用户设备相关联的参数。
在图4A的安排中,终端用户设备401直接向所述运营商服务器402提供与所述终端用户设备相关联的公共密钥(PK)和IMEI 4-1。在这种情况下,不存在公共密钥的来源/真实性的确认。因此,最好在制造期间或从“新的”手机(尚未交付给终端用户的手机)中提取所述密钥从而避免中间人(恶意软件)攻击。
在图4B的安排中,分布式存储器413,诸如www服务,被用于分发终端用户设备的公共密钥。在工厂制造期间,IMEI 4-10被从安全服务器412提供给终端用户设备401。终端用户设备401向安全服务器412返回它的公共密钥4-11。所述安全服务器向分布式存储器413分发由设备制造商签发密钥4-13签名的IMEI和相关联的公共密钥。所述设备制造商签发密钥是属于设备401制造商的某种适当的秘密密钥。然后,希望获得与终端用户设备401相关联的公共密钥的运营商服务器402请求所述终端用户设备的IMEI。所述终端用户设备提供它的IMEI 4-13。所述运营商服务器使用IMEI 4-14作为数据库密钥,使用该密钥从分布式存储器413请求公共密钥。然后,所述分布式存储器向所述运营商服务器返回由所述设备制造商签发密钥4-15签名的IMEI以及相关联的公共密钥。例如,所述运营商服务器可以使用先前配置的所述设备制造商的签名验证密钥来验证将所述IMEI绑定到所述设备公共密钥的设备制造商的签名。所述签发密钥和签名验证密钥典型的来自非对称数字签名方案(如RSA)。
例如,在各种实施例中使用的安全单元的公共密钥可以是EIGamal公共密钥或RSA公共密钥。
应注意,有可能为使用的每个安全单元定义单独的族密钥,或者公用的族密钥可以被用于向其提供证书的所有安全单元。还可以采用某些批量 密钥组。
由于是提供者通过选择族密钥建立族,而且然后可以开始提供证书并将证书应用绑定到所述族,因此任何提供者都被允许提供证书。这样,可以建设此类开放系统用于向通用安全单元的证书提供,其允许任何提供者向特定安全单元上的任何特定证书应用提供证书。因此可以获得比例如DSKPP中定义的颗粒度更加精细的颗粒度。
在各种实施例中,提供证书不需要从第三方(例如,所述安全单元的制造商或所述证书应用的开发者)强制取得任何预先协议或批准。此外,所述提供者可能能够规定多个不同证书应用(例如,相同证书应用的不同版本或者甚至不同证书应用)被允许访问相同证书。而且,多个独立提供者可以向一个证书应用提供不同证书。也即,一个证书应用可以被绑定到多个族。
下文讨论本发明的某些进一步细节。在实施例中,其他密钥从所述族密钥(或根提供密钥)Kp中得出。采用SHA-1(安全散列算法)作为基础散列算法的HMAC(基于密钥的消息认证码)算法被使用。所述密钥的如下被导出:
1.通过Kp=HMACkp(“confident”)从Kp导出机密性密钥Kc。该密钥可以被用于保护从提供者设备向安全单元发送的数据的机密性。
2.通过Ki=HMACkp(“integrity”)从Kp导出完整性密钥Ki。该密钥可以被用于保护从提供者设备向安全单元发送的消息的完整性。
3.通过Ka=HMACkp(“authentic”)从Kp导出认证密钥Ka。该密钥可以被用于为迁移命令提供源认证。
4.通过Kcc=HMACkp(“secretcode”)从Kp导出机密性密钥Kcc。该密钥可以被用于提供证书应用或脚本的机密性。
5.通过Kpe=HMACkp(“execproof”)从Kp导出验证执行密钥Kcc。该密钥可以被用于提供证书应用或脚本在所讨论的公共密钥定义的环境中被执行。
6.通过Hd=HMACkp(“hashdiv”)从Kp导出散列多样性值Hd。该 值可以被用于使密钥应用或脚本的纯文本散列多样化,以避免当码机密性被实施时的攻击。应注意,纯文本或普遍已知的证书应用或脚本可以被任何族密钥认可(即这些证书应用可以成为任何族的成员)。
总而言之,本发明各种实施例可以在硬件或专用电路、软件、逻辑或任意上述的结合中实现。例如,虽然本发明此处没有限定,但是某些方面可以在硬件中实现,而其他方面可以在固件或可以被控制器、微处理器或其他计算设备执行的软件中实现。虽然本发明各方面可以被示出或描述为框图、流程图,或使用某些其他图形化表示,应理解,此处描述的这些块、装置、系统、技术或方法可以在如非限制性示例中的,硬件、软件、固件、专用电路或逻辑、通用硬件或控制器或其他计算设备,或者上述的某些结合中实现。
已经提供了各种实施例。应理解,在本文档中,每个“包含”、“包括”和“含有”等词语用作没有排他目的的开放式表达。
前面的描述已经通过特定实现和实施例的非限制性示例,提供了发明者目前考虑的用于执行本发明的最佳模式的完整和信息性描述。然而,对于本行业技术人员而言,很明显本发明不限于上文介绍的实施例的细节,而是可以在不背离本发明特征的情况下在其他实施例中使用等同装置实现。
而且,本发明上述披露的实施例的某些特征可以被使用以产生良好效果,而不需要相应的使用其他特征。同样的,上述描述应当被考虑仅仅作为本发明原则的例证,而不是限制。因此,本发明的范围仅仅通过后附的专利权利要求进行限制。
Claims (35)
1.一种在提供装置中用于提供用于认证的证书的方法,所述方法包含:
获取族密钥,族密钥限定族,所述族的成员为应用;
以安全的方式向安全单元提交族密钥;
使用所述族密钥保护证书数据;
向所述安全单元提交被保护的证书数据;
使用所述族密钥将应用绑定到所述族,以授权所述应用为所述族的成员并授权所述应用使用所述族密钥来获得对证书数据的访问;以及
向所述安全单元提交所述绑定。
2.根据权利要求1的方法,进一步包含:
使用公共密钥密码保护所述族密钥;或
使用安全提交通道保护所述族密钥。
3.根据权利要求1或2的方法,进一步包含:
保护应用,
向所述安全单元提交被保护的应用;以及
使用所述族密钥将所述应用绑定到所述族。
4.根据权利要求2,其中采用与所述安全单元相关联的公共密钥或采用所述族密钥来保护所述应用。
5.根据权利要求1或2的方法,进一步包含:
与相关联的族识别信息一起向安全单元提交所述被保护的证书数据,以及
与相关联的族识别信息一起向安全单元提交所述绑定。
6.根据权利要求1或2的方法,其中获取所述族密钥包含:
获取先前使用的族密钥,或者
产生新的族密钥。
7.根据权利要求1或2的方法,其中所述族密钥是对称密钥。
8.根据权利要求1或2的方法,进一步包含:
使用所述族密钥保护多个证书数据;以及
向所述安全单元提交多个被保护的证书数据。
9.根据权利要求1或2的方法,进一步包含:
使用所述族密钥将多个应用绑定到所述族;以及
向所述安全单元提交所述多个绑定;
10.一种在安全单元中执行的方法,所述方法包含:
接收以安全的方式发送的族密钥,所述族密钥限定族,所述族的成员为应用;
接收采用所述族密钥保护的证书数据;
接收将至少一个应用绑定到所述族的信息;
当给出的应用试图访问证书时,使用所述族密钥提取与所述证书相关联的族信息,并且提取与所述给出的应用关联的族信息;
在提取的族信息的基础上检查所述给出的应用是否被授权为所述族的成员并被授权以访问所述证书;以及
如果所述给出的应用不属于所述族,则限制其到所述证书数据的访问。
11.根据权利要求10的方法,其中采用公共密钥密码保护所述族密钥;或者通过使用安全提交通道传送所述族密钥来保护所述族密钥。
12.根据权利要求10或11的方法,进一步包含:
以安全的形式接收到所述族的所述至少一个应用绑定。
13.根据权利要求12的方法,其中所述应用采用与所述安全单元相关联的公共密钥或采用所述族密钥来保护。
14.根据权利要求10或11的方法,进一步包含:
接收具有相关联的族识别信息的被保护的证书数据,
接收具有相关联的族识别信息的绑定信息,以及
使用所述族识别信息来检查给定的应用和给定的证书是否具有到所述相同族的绑定。
15.根据权利要求10或11的方法,其中所述族密钥是对称密钥。
16.根据权利要求10或11的方法,进一步包含:
接收采用所述族密钥保护的多个证书数据。
17.根据权利要求10或11的方法,进一步包含:
接收将多个应用绑定到所述族的信息。
18.一种在提供装置中的装置,包含:
用于获取族密钥的模块,族密钥限定族,所述族的成员为应用;
用于以安全的方式向安全单元提交族密钥的模块;
用于使用所述族密钥保护证书数据的模块;
用于向所述安全单元提交被保护的证书数据的模块;
用于使用所述族密钥将应用绑定到所述族,以授权所述应用为所述族的成员并授权所述应用使用所述族密钥来获得对证书数据的访问的模块;以及
用于向所述安全单元提交所述绑定的模块。
19.根据权利要求18的在提供装置中的装置,进一步包括:
用于使用公共密钥密码保护所述族密钥的模块;或
用于使用安全提交通道保护所述族密钥的模块。
20.根据权利要求18或19的在提供装置中的装置,进一步包括:
用于保护应用的模块,
用于向所述安全单元提交被保护的应用的模块;以及
用于使用所述族密钥将所述应用绑定到所述族的模块。
21.根据权利要求20的在提供装置中的装置,其中采用与所述安全单元相关联的公共密钥或采用所述族密钥来保护所述应用。
22.根据权利要求18或19的在提供装置中的装置,进一步包括:
用于与相关联的族识别信息一起向安全单元提交所述被保护的证书数据的模块,以及
用于与相关联的族识别信息一起向安全单元提交所述绑定的模块。
23.根据权利要求18或19的在提供装置中的装置,其中用于获取所述族密钥的模块包括:
用于获取先前使用的族密钥的模块,或者
用于产生新的族密钥的模块。
24.根据权利要求18或19的在提供装置中的装置,其中所述族密钥是对称密钥。
25.根据权利要求18或19的在提供装置中的装置,进一步包括:
用于使用所述族密钥保护多个证书数据的模块;以及
用于向所述安全单元提交多个被保护的证书数据的模块。
26.根据权利要求18或19的在提供装置中的装置,进一步包括:
用于使用所述族密钥将多个应用绑定到所述族的模块;以及
用于向所述安全单元提交所述多个绑定的模块;
27.一种安全单元中的装置,包含:
用于接收以安全的方式发送的族密钥的模块,所述族密钥限定族,所述族的成员为应用;
用于接收采用所述族密钥保护的证书数据的模块;
用于接收将至少一个应用绑定到所述族的信息的模块;
用于当给出的应用试图访问证书时,使用所述族密钥提取与所述证书相关联的族信息,并且提取与所述给出的应用关联的族信息的模块;
用于在提取的族信息的基础上检查所述给出的应用是否被授权为所述族的成员并被授权以访问所述证书的模块;以及
如果所述给出的应用不属于所述族,则限制其到所述证书的访问的模块。
28.根据权利要求27的安全单元中的装置,其中所述族密钥采用公共密钥密码保护;或者所述族密钥通过使用安全提交通道来传送所述族密钥来保护。
29.根据权利要求27或28的安全单元中的装置,进一步包括:
用于以安全的形式接收到所述族的所述至少一个应用绑定的模块。
30.根据权利要求29的安全单元中的模块,其中所述应用采用与所述安全单元相关联的公共密钥或采用所述族密钥来保护。
31.根据权利要求27或28的安全单元中的装置,进一步包括:
用于接收具有相关联的族识别信息的所述被保护的证书数据的模块,
用于接收具有相关联的族识别信息的所述绑定信息的模块,以及
用于使用所述族识别信息来检查给定的应用和给定的证书是否具有到所述相同族的绑定的模块。
32.根据权利要求27或28的安全单元中的装置,其中所述族密钥是对称密钥。
33.根据权利要求27或28的安全单元中的装置,其中进一步包括:
用于接收采用所述族密钥保护的多个证书数据的模块。
34.根据权利要求27或28的安全单元中的装置,进一步包括:
用于接收将多个应用绑定到所述族的信息的模块。
35.根据权利要求27或28的安全单元中的装置,其中所述安全单元是独立的物理单元,或者终端用户设备的专用计算硬件单元,或者终端用户设备的处理单元的安全功能单元。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/FI2007/050555 WO2009050324A1 (en) | 2007-10-16 | 2007-10-16 | Credential provisioning |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101828357A CN101828357A (zh) | 2010-09-08 |
| CN101828357B true CN101828357B (zh) | 2014-04-16 |
Family
ID=40567051
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN200780101138.9A Active CN101828357B (zh) | 2007-10-16 | 2007-10-16 | 用于证书提供的方法和装置 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US8724819B2 (zh) |
| EP (2) | EP3522580B1 (zh) |
| CN (1) | CN101828357B (zh) |
| WO (1) | WO2009050324A1 (zh) |
Families Citing this family (24)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8724819B2 (en) * | 2007-10-16 | 2014-05-13 | Nokia Corporation | Credential provisioning |
| US20090125992A1 (en) * | 2007-11-09 | 2009-05-14 | Bo Larsson | System and method for establishing security credentials using sms |
| CN101807998A (zh) * | 2009-02-13 | 2010-08-18 | 英飞凌科技股份有限公司 | 认证 |
| EP2514134A1 (en) * | 2009-12-18 | 2012-10-24 | Nokia Corp. | Credential transfer |
| CN103141126B (zh) * | 2010-09-29 | 2016-06-29 | 诺基亚技术有限公司 | 用于访问证书供应的方法和装置 |
| US8683560B1 (en) * | 2010-12-29 | 2014-03-25 | Amazon Technologies, Inc. | Techniques for credential generation |
| US20120294445A1 (en) * | 2011-05-16 | 2012-11-22 | Microsoft Corporation | Credential storage structure with encrypted password |
| CN102625309A (zh) * | 2012-01-18 | 2012-08-01 | 中兴通讯股份有限公司 | 访问控制方法及装置 |
| US9537663B2 (en) * | 2012-06-20 | 2017-01-03 | Alcatel Lucent | Manipulation and restoration of authentication challenge parameters in network authentication procedures |
| US9172687B2 (en) * | 2012-12-28 | 2015-10-27 | Nok Nok Labs, Inc. | Query system and method to determine authentication capabilities |
| US9887983B2 (en) | 2013-10-29 | 2018-02-06 | Nok Nok Labs, Inc. | Apparatus and method for implementing composite authenticators |
| US9396320B2 (en) | 2013-03-22 | 2016-07-19 | Nok Nok Labs, Inc. | System and method for non-intrusive, privacy-preserving authentication |
| US10270748B2 (en) | 2013-03-22 | 2019-04-23 | Nok Nok Labs, Inc. | Advanced authentication techniques and applications |
| US9654469B1 (en) | 2014-05-02 | 2017-05-16 | Nok Nok Labs, Inc. | Web-based user authentication techniques and applications |
| US9870462B2 (en) * | 2014-09-22 | 2018-01-16 | Intel Corporation | Prevention of cable-swap security attack on storage devices |
| US9755837B2 (en) | 2015-03-17 | 2017-09-05 | Qualcomm Incorporated | Apparatus and method for sponsored connectivity to wireless networks using application-specific network access credentials |
| US9717004B2 (en) | 2015-03-17 | 2017-07-25 | Qualcomm Incorporated | Apparatus and method for sponsored connectivity to wireless networks using application-specific network access credentials |
| US10637853B2 (en) | 2016-08-05 | 2020-04-28 | Nok Nok Labs, Inc. | Authentication techniques including speech and/or lip movement analysis |
| US10769635B2 (en) | 2016-08-05 | 2020-09-08 | Nok Nok Labs, Inc. | Authentication techniques including speech and/or lip movement analysis |
| US10237070B2 (en) | 2016-12-31 | 2019-03-19 | Nok Nok Labs, Inc. | System and method for sharing keys across authenticators |
| CN107070648B (zh) * | 2017-03-01 | 2020-09-18 | 北京信安世纪科技股份有限公司 | 一种密钥保护方法及pki系统 |
| US11868995B2 (en) | 2017-11-27 | 2024-01-09 | Nok Nok Labs, Inc. | Extending a secure key storage for transaction confirmation and cryptocurrency |
| US11831409B2 (en) | 2018-01-12 | 2023-11-28 | Nok Nok Labs, Inc. | System and method for binding verifiable claims |
| US11792024B2 (en) | 2019-03-29 | 2023-10-17 | Nok Nok Labs, Inc. | System and method for efficient challenge-response authentication |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP1117204A2 (en) * | 2000-01-14 | 2001-07-18 | Hewlett-Packard Company, A Delaware Corporation | Authorization infrastructure based on public key cryptography |
| WO2007062672A1 (en) * | 2005-11-30 | 2007-06-07 | Telecom Italia S.P.A. | Method and system for automated and secure provisioning of service access credentials for on-line services to users of mobile communication terminals |
| WO2007062689A1 (en) * | 2005-12-01 | 2007-06-07 | Telefonaktiebolaget Lm Ericsson (Publ) | Method and apparatus for distributing keying information |
Family Cites Families (61)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US4227253A (en) * | 1977-12-05 | 1980-10-07 | International Business Machines Corporation | Cryptographic communication security for multiple domain networks |
| US5754761A (en) * | 1995-03-06 | 1998-05-19 | Willsey; John A. | Universal sofeware key process |
| US5631961A (en) * | 1995-09-15 | 1997-05-20 | The United States Of America As Represented By The Director Of The National Security Agency | Device for and method of cryptography that allows third party access |
| US6070198A (en) * | 1995-10-19 | 2000-05-30 | Hewlett-Packard Company | Encryption with a streams-based protocol stack |
| US7095852B2 (en) * | 1998-02-13 | 2006-08-22 | Tecsec, Inc. | Cryptographic key split binder for use with tagged data elements |
| US8077870B2 (en) * | 1998-02-13 | 2011-12-13 | Tecsec, Inc. | Cryptographic key split binder for use with tagged data elements |
| US7047416B2 (en) * | 1998-11-09 | 2006-05-16 | First Data Corporation | Account-based digital signature (ABDS) system |
| US7412462B2 (en) * | 2000-02-18 | 2008-08-12 | Burnside Acquisition, Llc | Data repository and method for promoting network storage of data |
| US6952770B1 (en) * | 2000-03-14 | 2005-10-04 | Intel Corporation | Method and apparatus for hardware platform identification with privacy protection |
| JP4139228B2 (ja) * | 2001-02-26 | 2008-08-27 | フォースパス インコーポレイテッド | アプリケーションの通信に基づく請求方法およびシステム |
| US20030037237A1 (en) * | 2001-04-09 | 2003-02-20 | Jean-Paul Abgrall | Systems and methods for computer device authentication |
| US7409562B2 (en) * | 2001-09-21 | 2008-08-05 | The Directv Group, Inc. | Method and apparatus for encrypting media programs for later purchase and viewing |
| EP1436943B1 (en) * | 2001-09-21 | 2016-11-02 | The DIRECTV Group, Inc. | Method and apparatus for controlling paired operation of a conditional access module and an integrated receiver and decoder |
| FR2831362B1 (fr) | 2001-10-19 | 2004-02-27 | Babel Software | Procede de transaction securisee entre un telephone mobile equipe d'un module d'identification d'abonne (carte sim) et un serveur d'application |
| US20030084332A1 (en) * | 2001-10-26 | 2003-05-01 | Koninklijke Philips Electronics N.V. | Method for binding a software data domain to specific hardware |
| EP1493258B1 (en) * | 2002-04-05 | 2011-11-02 | Panasonic Corporation | Content using system |
| US7890771B2 (en) * | 2002-04-17 | 2011-02-15 | Microsoft Corporation | Saving and retrieving data based on public key encryption |
| US7493289B2 (en) * | 2002-12-13 | 2009-02-17 | Aol Llc | Digital content store system |
| US20050195975A1 (en) * | 2003-01-21 | 2005-09-08 | Kevin Kawakita | Digital media distribution cryptography using media ticket smart cards |
| US7835520B2 (en) * | 2003-02-20 | 2010-11-16 | Zoran Corporation | Unique identifier per chip for digital audio/video data encryption/decryption in personal video recorders |
| US7549062B2 (en) * | 2003-06-27 | 2009-06-16 | Microsoft Corporation | Organization-based content rights management and systems, structures, and methods therefor |
| EP1828998A2 (en) | 2004-02-05 | 2007-09-05 | A Little World Private Limited | Inter-operable, multi-operator, multi-bank, multi-merchant mobile payment method and a system therefor |
| US8271390B2 (en) * | 2004-06-14 | 2012-09-18 | Nokia Corporation | Digital rights management (DRM) license manager |
| US7693286B2 (en) * | 2004-07-14 | 2010-04-06 | Intel Corporation | Method of delivering direct proof private keys in signed groups to devices using a distribution CD |
| US7792303B2 (en) * | 2004-07-14 | 2010-09-07 | Intel Corporation | Method of delivering direct proof private keys to devices using a distribution CD |
| US7697691B2 (en) * | 2004-07-14 | 2010-04-13 | Intel Corporation | Method of delivering Direct Proof private keys to devices using an on-line service |
| CN1725681A (zh) * | 2004-07-19 | 2006-01-25 | 松下电器产业株式会社 | 可动态产生密钥的密钥连结方法及其应用 |
| US7702922B2 (en) * | 2004-08-17 | 2010-04-20 | Microsoft Corporation | Physical encryption key system |
| US7571489B2 (en) * | 2004-10-20 | 2009-08-04 | International Business Machines Corporation | One time passcode system |
| US7600134B2 (en) * | 2004-11-08 | 2009-10-06 | Lenovo Singapore Pte. Ltd. | Theft deterrence using trusted platform module authorization |
| US7712086B2 (en) * | 2004-12-15 | 2010-05-04 | Microsoft Corporation | Portable applications |
| US20060137016A1 (en) * | 2004-12-20 | 2006-06-22 | Dany Margalit | Method for blocking unauthorized use of a software application |
| US20060161502A1 (en) * | 2005-01-18 | 2006-07-20 | International Business Machines Corporation | System and method for secure and convenient handling of cryptographic binding state information |
| US7587595B2 (en) * | 2005-05-13 | 2009-09-08 | Intel Corporation | Method and apparatus for providing software-based security coprocessors |
| US7908483B2 (en) * | 2005-06-30 | 2011-03-15 | Intel Corporation | Method and apparatus for binding TPM keys to execution entities |
| US7577258B2 (en) * | 2005-06-30 | 2009-08-18 | Intel Corporation | Apparatus and method for group session key and establishment using a certified migration key |
| US9325944B2 (en) * | 2005-08-11 | 2016-04-26 | The Directv Group, Inc. | Secure delivery of program content via a removable storage medium |
| US20070136465A1 (en) * | 2005-12-12 | 2007-06-14 | Fernandes Lilian S | Method for allowing multiple authorized applications to share the same port |
| US20080260351A1 (en) * | 2005-12-22 | 2008-10-23 | Koninklijke Philips Electronics, N.V. | Recording of Protected Broadcast Content with Selectable User Rights |
| US20070220598A1 (en) * | 2006-03-06 | 2007-09-20 | Cisco Systems, Inc. | Proactive credential distribution |
| US8239671B2 (en) * | 2006-04-20 | 2012-08-07 | Toshiba America Research, Inc. | Channel binding mechanism based on parameter binding in key derivation |
| US7992175B2 (en) * | 2006-05-15 | 2011-08-02 | The Directv Group, Inc. | Methods and apparatus to provide content on demand in content broadcast systems |
| US8996421B2 (en) * | 2006-05-15 | 2015-03-31 | The Directv Group, Inc. | Methods and apparatus to conditionally authorize content delivery at broadcast headends in pay delivery systems |
| US20070265973A1 (en) * | 2006-05-15 | 2007-11-15 | The Directv Group, Inc. | Methods and apparatus to protect content in home networks |
| US8775319B2 (en) * | 2006-05-15 | 2014-07-08 | The Directv Group, Inc. | Secure content transfer systems and methods to operate the same |
| US8095466B2 (en) * | 2006-05-15 | 2012-01-10 | The Directv Group, Inc. | Methods and apparatus to conditionally authorize content delivery at content servers in pay delivery systems |
| US8001565B2 (en) * | 2006-05-15 | 2011-08-16 | The Directv Group, Inc. | Methods and apparatus to conditionally authorize content delivery at receivers in pay delivery systems |
| US20070265966A1 (en) * | 2006-05-15 | 2007-11-15 | The Directv Group, Inc. | Content delivery systems and methods to operate the same |
| JP5079803B2 (ja) * | 2006-07-18 | 2012-11-21 | サーティコム コーポレーション | ゲーム装置を認証するシステムおよび方法 |
| US7725614B2 (en) * | 2006-08-08 | 2010-05-25 | Sandisk Corporation | Portable mass storage device with virtual machine activation |
| US7831043B2 (en) * | 2006-08-27 | 2010-11-09 | International Business Machines Corporation | System and method for cryptographically authenticating data items |
| CN101150572B (zh) * | 2006-09-22 | 2011-08-10 | 华为技术有限公司 | 移动节点和通信对端绑定更新的方法及装置 |
| US8495383B2 (en) * | 2006-12-14 | 2013-07-23 | Nokia Corporation | Method for the secure storing of program state data in an electronic device |
| US7644044B2 (en) * | 2007-04-04 | 2010-01-05 | Sony Corporation | Systems and methods to distribute content over a network |
| US8064605B2 (en) * | 2007-09-27 | 2011-11-22 | Intel Corporation | Methods and apparatus for providing upgradeable key bindings for trusted platform modules |
| US8528109B2 (en) * | 2007-10-09 | 2013-09-03 | Microsoft Corporation | Optimizing amount of data passed during software license activation |
| US8724819B2 (en) * | 2007-10-16 | 2014-05-13 | Nokia Corporation | Credential provisioning |
| US8010804B2 (en) * | 2008-08-08 | 2011-08-30 | International Business Machines Corporation | Method to protect secrets against encrypted section attack |
| US8452011B2 (en) * | 2008-10-24 | 2013-05-28 | Qualcomm Incorporated | Method and apparatus for billing and security architecture for venue-cast services |
| US20110276490A1 (en) * | 2010-05-07 | 2011-11-10 | Microsoft Corporation | Security service level agreements with publicly verifiable proofs of compliance |
| US8651645B2 (en) * | 2010-10-29 | 2014-02-18 | Hewlett-Packard Development Company, L.P. | Print cartridge identification system and method |
-
2007
- 2007-10-16 US US12/738,616 patent/US8724819B2/en active Active
- 2007-10-16 EP EP19164791.6A patent/EP3522580B1/en active Active
- 2007-10-16 CN CN200780101138.9A patent/CN101828357B/zh active Active
- 2007-10-16 EP EP07823192.5A patent/EP2204008B1/en active Active
- 2007-10-16 WO PCT/FI2007/050555 patent/WO2009050324A1/en active Application Filing
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP1117204A2 (en) * | 2000-01-14 | 2001-07-18 | Hewlett-Packard Company, A Delaware Corporation | Authorization infrastructure based on public key cryptography |
| WO2007062672A1 (en) * | 2005-11-30 | 2007-06-07 | Telecom Italia S.P.A. | Method and system for automated and secure provisioning of service access credentials for on-line services to users of mobile communication terminals |
| WO2007062689A1 (en) * | 2005-12-01 | 2007-06-07 | Telefonaktiebolaget Lm Ericsson (Publ) | Method and apparatus for distributing keying information |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2009050324A1 (en) | 2009-04-23 |
| EP2204008A4 (en) | 2014-03-12 |
| EP2204008B1 (en) | 2019-03-27 |
| US20100266128A1 (en) | 2010-10-21 |
| EP3522580A1 (en) | 2019-08-07 |
| US8724819B2 (en) | 2014-05-13 |
| CN101828357A (zh) | 2010-09-08 |
| EP3522580B1 (en) | 2021-01-20 |
| EP2204008A1 (en) | 2010-07-07 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101828357B (zh) | 用于证书提供的方法和装置 | |
| CN107358441B (zh) | 支付验证的方法、系统及移动设备和安全认证设备 | |
| US8689290B2 (en) | System and method for securing a credential via user and server verification | |
| US7373509B2 (en) | Multi-authentication for a computing device connecting to a network | |
| CN1985466B (zh) | 使用分发cd按签署组向设备传递直接证据私钥的方法 | |
| EP2221742A1 (en) | Authenticated communication between security devices | |
| CN105427099A (zh) | 安全电子交易的网络认证方法 | |
| CN111614621B (zh) | 物联网通信方法和系统 | |
| WO2003003171A2 (en) | A method and system for generating and verifying a key protection certificate. | |
| CN101300808A (zh) | 安全认证的方法和设置 | |
| CN103546289A (zh) | 一种基于USBKey的安全传输数据的方法及系统 | |
| JP5380583B1 (ja) | デバイス認証方法及びシステム | |
| CN105282179A (zh) | 一种基于cpk的家庭物联网安全控制的方法 | |
| JP2020530726A (ja) | サプライチェーン資産管理を保護するアプリケーションを有する遠隔サーバへのnfcタグ認証 | |
| US20110162053A1 (en) | Service assisted secret provisioning | |
| CN103269271A (zh) | 一种备份电子签名令牌中私钥的方法和系统 | |
| JPH1032570A (ja) | 電子署名システム | |
| CN105812334A (zh) | 一种网络认证方法 | |
| CN108352982B (zh) | 通信装置、通信方法及记录介质 | |
| CN114186292A (zh) | 卡式证件密钥初始化方法、密码模块、初始化装置及系统 | |
| EP3185504A1 (en) | Security management system for securing a communication between a remote server and an electronic device | |
| EP4208982A1 (en) | Method for electronic signing and authenticaton strongly linked to the authenticator factors possession and knowledge | |
| KR20130100032A (ko) | 코드 서명 기법을 이용한 스마트폰 어플리케이션 배포 방법 | |
| CN111246480A (zh) | 基于sim卡的应用通信方法、系统、设备及存储介质 | |
| CN111641507B (zh) | 一种软件通信体系结构组件注册管理方法和装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| C41 | Transfer of patent application or patent right or utility model | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20160118 Address after: Espoo, Finland Patentee after: Technology Co., Ltd. of Nokia Address before: Espoo, Finland Patentee before: Nokia Oyj |